40 Ausgabe 02 / 2016JOURNALFakten und Perspektiven der IT im Gesundheitswesen

Crypto-Ransomware: Wenn die Datenverschlüsselung zur Waffe wird

All your files are encrypted: Wenn Sie diese Nachricht auf ihrem Bildschirm lesen, ist es schon zu spät. Seit einigen Jahren verwenden Cyber-Kriminelle ver-mehrt Crypto-Ransomware, um Geld von ihren Opfern zu erpressen. Crypto-Ransomware ist ein Schadcode, der nach erfolgreicher Ausführung auf dem End-system Daten verschlüsselt (Dokumente, Bilder, Videos, Musikdateien etc.). Aktu-ell sind etwa 70 unterschiedliche Datei-typen betroffen. Die Verschlüsselung ist mit heutigen Mitteln kaum zu brechen. Dieses nutzen die Täter als Grundlage der Erpressung. Sie fordern eine Bezah-lung für die Auslieferung des Schlüssels, mit dem die Daten wieder lesbar werden. Nach einem Bericht des Bundesamtes für Sicherheit in der Informationstech-nik (BSI) ist die Aktivität von Crypto-Ransomware weltweit um das 6-fache angestiegen; in Deutschland sogar um das 10-fache. Aufgrund des immensen Schadenspotenzials stellt Crypto-Ran-somware eine größere Gefahr für kri-tische Infrastrukturen (KRITIS) dar als andere Malware-Varianten. In jüngster Vergangenheit wurden Berichte über die Folgen solcher Angriffe auf mehrere Krankenhäuser und deren fatale Folgen veröffentlicht.

Jeder kann das Opfer einer Crypto-Ran-somware-Attacke sein, schließlich hat jeder wertvolle Dokumente. Mit zuneh-mender Bedeutung der Daten für die Funktionsfähigkeit einer Einrichtung wie z. B. eines Krankenhauses steigt auch das Interesse der Erpresser. Somit sind Server mit zentralen Unternehmensfunktionen für sie ein besonders interessantes Ziel.

Bei einer Verschlüsselung der Konfigu-rationsdateien von Servern ist die Hand-lungsfähigkeit des ganzen Unternehmens gefährdet. Ein weiteres Beispiel für diese Art von Angriffen ist die Verschlüsselung der Daten auf den Webservern (CTB-Locker). Anstatt der originalen Webseite wird dann der digitale Erpressungsbrief gezeigt, wel-cher sogar für jeden öffentlich lesbar ist. Der Reputationsschaden ist dann hoch.

Man muss sich die Folgen vor Augen führen, wenn IT-Systeme oder Doku-mente nicht zur Verfügung stehen. Ein Beispiel für diese Abhängigkeit sind die gelegentlichen Ausfälle des Mobilfunk-netzes oder von sozialen Netzwerken. Was passiert aber, wenn Kalender, E-Mails, Abrechnungssysteme oder sogar Pati-entendaten nicht mehr zur Verfügung stehen? Wenn ein Arzt nicht mehr auf seine Termine oder alte Diagnosen von Patienten zugreifen kann oder Rechnun-gen nicht mehr zentral verwaltet werden können? Die Konsequenzen wären weit folgenschwerer als der temporäre Verlust eines sozialen Netzwerks. Hier sind vor-beugende Maßnahmen unerlässlich.

Funktionsweise

Mit der Komplexität der heutigen Sys-teme und Infrastrukturen steigt auch die Anzahl an Angriffsvektoren, die über-

blickt werden muss. Schadhafte Makros in Office-Dokumenten und Sicherheits-lücken in Webbrowsern, Java oder PDF-Readern sind dabei nur einige Beispiele aus einem Sortiment an Gefahren und (teilweise unentdeckten) Verwundbarkei-ten, die ausgenutzt werden können, um Schadcode zu verteilen.

Eine der größten Schwachstellen ist jedoch der Mensch selbst. Neben dem Ausnutzen technischer Defizite versuchen Kriminelle immer öfter die Schwach-stelle „Benutzer“ anzugehen, etwa mittels Spam-Mails. Diese Herangehensweise wird als Social Engineering bezeichnet. Dabei werden gefälschte Rechnungen im Namen von bekannten Mobilfunkbetrei-bern, Paketdiensten oder Webshops ver-schickt, die den Nutzer zum Ausführen des Anhangs oder Anklicken eines Links verleiten sollen. Statt der erwarteten Rechnung wird dann ein Schadprogramm ausgeführt, das die Crypto-Ransomware

Titelthema

41Ausgabe 02 / 2016JOURNALFakten und Perspektiven der IT im Gesundheitswesen

herunterlädt und ausführt. Es gibt auch Fälle, in denen Mitarbeiter aus Neugier Schadsoftware über „zufällig“ gefundene USB-Sticks ins Firmennetz einschleppen.

Die Preisgabe von personenbezogenen Informationen zum Beispiel in sozia-len Netzwerken nutzen Hacker, um ihre Verfahren im Bereich personalisierter SPAM-Wellen kontinuierlich zu verbes-sern. Somit werden SPAM-E-Mails nicht mehr allgemein, sondern namentlich an die Zielperson gerichtet. Ein Mitarbeiter, der nicht oder unzureichend geschult ist, kann leichtfertig eine Crypto-Ransom-ware in das System bringen.

Sobald die Crypto-Ransomware erfolg-reich ausgeführt wurde, versteckt sich der Schadcode zunächst im System. Danach verbindet sich das Schadprogramm mit einem sogenannten „Command & Control“-Server des Erpressers. Von dort ruft es einen generierten öffentlichen Schlüssel ab. Dabei wird die asymmetri-sche Verschlüsselung gewählt. Das bedeu-tet, dass zur Ver- und Entschlüsselung zwei unterschiedliche Schlüssel verwen-det werden. Nur der öffentliche Schlüssel für die Verschlüsselung wird an das Sys-tem des Opfers gesendet und der private

Schlüssel zur Entschlüsselung verbleibt beim Erpresser.

Nachdem der Schlüssel übermittelt wurde, beginnt die Crypto-Ransomware mit der Suche nach bestimmten Datei-Endungen (z.B. pdf, jpeg, doc oder avi). Der Schadcode scannt dabei interne Fest-platten UND andere verfügbaren Spei-chermedien wie USB-Sticks, externe Spei-cherplatten, aber auch Netzwerk-Speicher und verschlüsselt die Dateien. Bis zur Lösegeld-Forderung geschieht alles voll-automatisch im Hintergrund – und oft unbemerkt. Das digitale Erpressungs-schreiben wird im Anschluss in einem Bild- oder Textformat auf dem Bildschirm dargestellt.

Konsequenzen

Nachdem die Daten einmal verschlüsselt wurden, gibt es nur wenige Möglichkei-ten, diese wiederherzustellen. Wenn auf die Daten verzichtet werden kann, ist die schnellste Alternative eine Neuinstal-lation des betroffenen Systems bzw. die Wiederherstellung von Dateien, sofern Sicherungen vorhanden sind. Für ein ein-zelnes System mag dies durchführbar

sein. Jedoch kann dies für Server oder mehrere Nutzer-PCs bereits sehr kostspie-lig werden. Einige Crypto-Ransomware-Versionen verhindern sogar die Erstellung von Kopien.

Wer also sein System bzw. die Daten wiederherstellen möchte, muss unter Umständen einen Alternativweg finden. Für manche Crypto-Ransomware-Varian-ten existieren Tools, mit denen der private Schlüssel zur Entschlüsselung ermittelt werden kann. Diese Tools nutzen Imple-mentierungsfehler der Schadsoftware. Da die Täter ihren Schadcode jedoch kon-tinuierlich verbessern, können die Tools zur Ermittlung des privaten Schlüssels meist nur für eine bestimmte Crypto-Ransomware-Version verwendet werden. Eine Berechnung der privaten Schlüssel ist bei den eingesetzten Schlüssellängen von 2.048 Bit oder gar 4.096 Bit (Tesla-Crypt Version 4.0) z.Z. eher eine theoreti-sche Option.

Als letzter Ausweg bleibt also die Über-legung, das Lösegeld zu bezahlen. Eine vermeintlich schnelle Lösung. In der Pra-xis kann jedoch niemand garantieren, dass der richtige Schlüssel jemals das Zielsystem erreichen wird. Auch könnte

Titelthema

42 Ausgabe 02 / 2016JOURNALFakten und Perspektiven der IT im Gesundheitswesen

sich in den „Entschlüsselungsprogram-men“ ein neuer Schadcode befinden und man bestätigt außerdem, dass der Angriff erfolgreich war. Damit ist man weiterhin erpressbar. Eine Lösegeldzahlung wird daher nicht empfohlen.

Als Konsequenz ergibt sich: Die Daten sind weg! Die Folgen sind entsprechend kritisch: Kundendaten müssen neu ange-fragt werden, Rechnungen sind auf ewig verloren und Diagnosen vom Arzt müssen eventuell neu gestellt werden. Unabhän-gig vom finanziellen Schaden entsteht dadurch auch ein Reputationsschaden. Dieser kann noch zu sehr viel schwerwie-genderen Problemen führen.

Was kann ich tun?

Nicht nur bei Crypto-Ransomware, son-dern auch bei vielen anderen Malware-Typen kann auf verschiedene Art und Weise vorgesorgt werden:1. Angriffsfläche minimieren: Durch die regelmäßige Installation von Software-updates kann der Ausnutzung von Sicher-heitslücken vorgebeugt werden. Zusätz-lich dazu sollten alle nicht benötigten Programme vom System entfernt oder blockiert werden. 2. Filterung von Mails: Sowohl auf Cli-ent- als auch auf Netzwerkebene sollten Mails auf Spam-Verdacht und schadhafte Anhänge gescannt werden. Wenn die meisten schadhaften E-Mails blockiert werden, verringert sich das allgemeine

Risiko für den Nutzer, eine Schadsoft-ware auszuführen. Zusätzlich zur Filte-rung von Spam können Dateiformate in den Anhängen blockiert werden, da diese bekanntermaßen oft für Malware ver-wendet werden.

3. Awareness (Achtsamkeit): Aufgrund der Schnelllebigkeit der Schadsoftware passiert es dennoch, dass Mails am Filter vorbeikommen. Dann ist es unabding-bar, dass der Empfänger der E-Mail ent-sprechend geschult wurde, um Spam zu erkennen. Statt eine Mail zu öffnen und eventuell Anhänge auszuführen, kann der Empfänger sie dann entweder löschen oder sich an die zuständige IT-Abteilung wenden.

4. Endpoint-Security: Auch können die potentiellen Zielsysteme selbst mit einer Vielzahl von Lösungen vor Malware geschützt werden. Das bekannteste Mit-tel hierfür sind Antivirenprogramme, die bekannte Malware identifizieren und ent-fernen können.

5. Internet Security Gateways: Nicht nur durch das Öffnen von E-Mails, son-dern auch über den Zugriff auf infizierte Internetseiten können schadhafte Pro-gramme auf Rechner gelangen. Internet Security Gateways können zentral den Netzwerk-Verkehr auf Schadsoftware und Anomalien prüfen und können sie ggf. blockieren.

6. Backups: Sicherungen ermöglichen die Wiederherstellung von Daten. Dazu gehö-ren sowohl Online- als auch Offlineback-ups. Bei Online-Lösungen müsste darauf geachtet werden, dass der Zugriff durch Nutzer auf bereits durchgeführte Back-ups gesperrt wird. Ansonsten könnte eine Crypto-Ransomware die Backups eben-falls verschlüsseln.

7. Dokumentation: Eine sauber gepflegte Dokumentation kann eventuelle Fehlkon-figurationen und Lücken aufdecken. Wei-terhin sinkt die Gefahr durch fehlerhaft ablaufende Prozesse, wenn sich jeder an die Dokumentation hält. Daher sollte eine aktuelle Dokumentation über Infrastruk-turen, Prozesse und Maßnahmen vorhan-den sein und gepflegt werden.

8. Notfall-Planung: Die oben genann-ten Maßnahmen dienen der Prävention. Nichtsdestotrotz kann es aufgrund unzu-reichender Implementierung dieser Maß-nahmen oder durch Softwarefehler zu einem Vorfall kommen. Auf diesen Fall muss man vorbereitet sein und dement-sprechend einen Notfallplan erstellt und getestet haben.

Alle diese Maßnahmen müssen Teil eines Sicherheitskonzeptes sein, welches ste-tig überprüft, angepasst und verbessert werden muss. Hier kann man ruhig auf die Erfahrung von Sicherheitsexperten zurückgreifen.

Titelthema